Les logiciels d’accès à distance sont indispensables pour supporter une
main-d’œuvre distribuée ou à distance, mais ils sont également une cible de choix pour les cyberattaques. L’étude de Barracuda a examiné les outils les plus courants, les ports associés et les moyens par lesquels les attaquants peuvent obtenir un accès non autorisé.


Les outils d’accès à distance aux ordinateurs, tels que les Virtual Network Computing (VNC) et le Remote Desktop Protocol (RDP), sont devenus des outils indispensables pour soutenir les travailleurs distants et les appareils en périphérie. Ils sont en outre largement utilisés dans les secteurs où les infrastructures sont critiques, permettent aux utilisateurs et aux appareils de se connecter à des serveurs, quelle que soit la plateforme utilisée. Toutefois, leur popularité et leur accessibilité en font des vecteurs d’attaque privilégiés pour les pirates informatiques.

Dans son étude la plus récente, intitulée Threat Spotlight, Barracuda a passé en revue les outils d’accès à distance aux ordinateurs les plus visés par les cybercriminels au cours de l’année précédente, en mettant également en lumière les failles de sécurité qui ont permis à ces derniers de s’introduire dans les systèmes. Les résultats de cette analyse démontrent que les Virtual Network Computing (VNC) sont de loin les outils les plus ciblés, représentant 98 % de l’ensemble du trafic sur tous les points d’accès spécifiques en 2023, selon les données recueillies par Barracuda.  

60 % du trafic malveillant proviendrait de Chine

Les attaques contre les outils d’accès à distance peuvent prendre diverses formes, mais la méthode la plus courante et la plus simple consiste en l’utilisation abusive d’informations d’identification faiblement sécurisées, réutilisées ou usurpées. En exploitant les accès de l’utilisateur victime, l’attaquant obtient un accès immédiat aux différents systèmes, ce qui peut entraîner des conséquences désastreuses pour les entreprises et les particuliers.

En ce qui concerne les zones géographiques d’où proviennent ces attaques contre les VNC, « il est difficile d’établir leur origine exacte, car de nombreux cybercriminels utilisent des proxys ou des VPN pour masquer leur véritable emplacement », affirme le rapport. Toutefois, il semblerait qu’environ 60 % du trafic malveillant ciblant les VNC provienne de Chine.  

Virtual Network Computing (VNC) - Ports 5800+, 5900+

VNC, qui utilise le protocole RFB, permet aux utilisateurs et aux appareils de se connecter à des serveurs, quels que soient les systèmes d’exploitation utilisés. Il est utilisé comme logiciel de base pour, entre autres, les solutions d’accès à distance à écran partagé d’Apple. Il est également largement utilisé dans les industries d’infrastructures critiques, telles que les services publics, qui sont une cible croissante pour les cyberattaques.

Selon les sources de données de Barracuda, VNC était de loin l’outil d’accès à distance le plus ciblé au cours de la dernière année, représentant 98 % du trafic sur tous les ports spécifiques aux accès à distance.Plus de 99 % de ces tentatives d’attaque visaient les ports HTTP, le un pourcent restants ciblait TCP (protocole de contrôle de transfert). Cela est probablement dû au fait que HTTP, le protocole utilisé pour accéder aux sites Web, ne nécessite aucune authentification spécifique, contrairement à TCP, qui est utilisé pour l’échange de données entre les applications et les appareils.

La plupart des attaques observées contre VNC consistaient à forcer les mots de passe faibles et réutilisés. La vulnérabilité la plus couramment ciblée par les attaques était
CVE-2006-2369, qui permet à un attaquant de contourner l’authentification dans RealVNC 4.1.1. Une technologievieille de 18 ans.

VNC comprend plusieurs déclinaisons logicielles, et chacune peut différer légèrement en termes de fonctionnalités et de fonctionnement. Certaines ont une limite de 8 caractères pour les mots de passe, ce qui peut rendre le craquage du mot de passe significativement plus facile pour les attaquants. Par défaut, le trafic VNC n’est pas chiffré, mais certaines solutions utilisent un tunnel chiffré tel que Secure Shell (SSH) ou un réseau privé virtuel (VPN) pour renforcer la sécurité.  

Remote Desktop Protocol (RDP) - Port 3389

RDP est un protocole relativement courant, propriétaire, créé par Microsoft pour une utilisation d’accès à distance à un bureau. RDP a représenté environ 1,6 % des tentatives d’attaque détectées au cours de la dernière année. Cependant, les attaques de plus grande envergure contre les réseaux et les données sont plus susceptibles d’impliquer RDP que VNC. Les attaques RDP sont souvent utilisées pour déployer des logiciels malveillants, le plus souvent des rançongiciels ou des mineurs de cryptomonnaie, ou pour exploiter des machines vulnérables dans le cadre d’attaques par déni de service distribué (DDoS).

Environ une tentative d’attaque sur six (15 %) impliquait un cookie obsolète. Il s’agit
peut-être d’une tactique délibérée pour aider les attaquants à identifier les versions plus anciennes, et donc probablement plus vulnérables, du logiciel RDP.

Comme les autres services d’accès à distance, RDP est principalement ciblé par des attaques basées sur les informations d’identification. Cependant, quelques vulnérabilités graves ont été signalées au fil des années qui permettent l’exécution de code à distance (RCE) sur le système cible. Certaines vulnérabilités notables incluent CVE-2018-0886, qui a affecté le fournisseur de sécurité des informations d’identification (CredSSP) utilisé pour l’authentification RDP (CVE-2019-0708), également connu sous le nom de BlueKeep, qui était capable d’être transformé en ver (bien qu’aucun ver dans la nature n’ait été signalé) ; et CVE-2019-0887, qui a offert aux attaquants un moyen d’échapper aux instances de machine virtuelle Hyper-V pour obtenir un accès à l’hyperviseur.  

La plupart des tentatives contre RDP provenaient d’Amérique du Nord

Il est également possible pour les attaquants d’utiliser RDP pour obtenir des hachages de mot de passe pour des comptes plus privilégiés qui peuvent gérer les postes de travail. Cela peut faire partie d’une attaque contre un système avec un serveur RDP activé, ou pour une élévation de privilèges en activant RDP sur un système qu’un attaquant a déjà compromis.

Cependant, malgré ces vulnérabilités RCE potentiellement à haut risque, la plupart des tentatives d’exploitation observées contre RDP étaient des vulnérabilités de déni de service, qui représentaient 9 % du trafic observé.

RDP est également utilisé dans les attaques de vishing (hameçonnage vocal/téléphonique) de Microsoft Support qui visent à escroquer les utilisateurs en les convainquant que leur machine a des problèmes techniques que l’attaquant peut résoudre s’il est autorisé à accéder à RDP. Il existe également un marché souterrain pour les instances RDP vulnérables ou craquées pour que d’autres attaquants les utilisent comme ils le souhaitent, souvent pour plusieurs dollars par instance.

Les données suggèrent que la plupart des tentatives d’attaque contre RDP provenaient d’Amérique du Nord (représentant environ 42 % des attaques), suivies de la Chine et de l’Inde, bien que, comme mentionné ci-dessus, l’utilisation de proxys ou de VPN puisse obscurcir la source réelle des attaques.  

TeamViewer — Port 5938

Les attaques ciblant TeamViewer représentaient 0,1 % du trafic malveillant sur tous les ports d’accès à distance couverts par les sources de données de Barracuda. Les quelques attaques détectées impliquaient la vulnérabilité Log4Shell et semblaient cibler le hub de gestion central de TeamViewer, le Frontline Command Center, qui semble être la seule application TeamViewer à utiliser Java.

Les versions les plus récentes de TeamViewer sont destinées à une utilisation en entreprise et à l’intégration avec Microsoft Teams, Salesforce et ServiceNow, entre autres. En tant qu’offre d’entreprise, TeamViewer propose des fonctionnalités de sécurité spécifiques telles que l’empreinte digitale de l’appareil, les informations d’identification générées automatiquement (qui empêchent les mots de passe faibles ou réutilisés), le recul exponentiel pour les informations d’identification incorrectes (qui augmente le temps d’attente de manière exponentielle chaque fois que des informations d’identification incorrectes sont utilisées, ce qui protège contre les attaques par force brute) et l’authentification multifacteur (MFA). Tout le trafic entre le client et le serveur TeamViewer est également chiffré pour renforcer la sécurité.

Malgré ces protections, TeamViewer est ciblé par des attaques. Cela est souvent consécutif à des informations d’identification hameçonnées ou partagées de manière peu sécurisée. TeamViewer est également utilisé dans des escroqueries de support technique.

En plus du port 5938, les ports 80 et 443 peuvent également être utilisés avec TeamViewer, ce qui peut rendre plus difficile pour l’équipe de sécurité de détecter les connexions malveillantes sur le réseau.  

Independent Computing Architecture (ICA) - Ports 1494, 2598

ICA est un protocole d’accès à distance créé par Citrix comme alternative à RDP, bien que les solutions Citrix utilisant ICA prennent généralement en charge RDP. Le port 1494 est utilisé pour les connexions ICA entrantes. ICA peut également être encapsulé dans le protocole Common Gateway de Citrix, qui utilise le port 2598.

Certaines versions précédentes du client ICA présentaient des vulnérabilités RCE. Une vulnérabilité RCE plus générale, CVE-2023-3519, a également affecté le proxy ICA et a été utilisée par les attaquants pour créer des coquilles Web sur les systèmes affectés.  

AnyDesk - Port 6568

AnyDesk est une autre solution d’accès à distance qui a été utilisée dans des escroqueries de support technique ainsi que dans des escroqueries de service client de banque mobile. AnyDesk a été intégré dans quelques variantes de rançongiciels en 2018, peut-être pour tromper les systèmes de détection de logiciels malveillants quant au véritable but du logiciel malveillant. En plus du port 6568, il peut également utiliser les ports 80 ou 443.  

Splashtop Remote — Port 6783

Bien qu’il ait représenté le moins de trafic de tentative d’attaque parmi les solutions d’accès à distance, Splashtop Remote a été utilisé dans des escroqueries de support technique. Il peut également être compromis en utilisant des mots de passe faibles, réutilisés ou hameçonnés.